本网站是由硕士、博士和高校教师组成的专业代写团队所创办的平台。主要为在校本科生、专科生、硕士生、在 职研究生、单位公司人员、留学生等提供各种专业代写毕业论文服务的网站。提供的写作服务包括:代写MBA论文、代写MPA论文、代写EMBA论文、代写硕 士论文、代写本科毕业论文、代写专科毕业论文、代写研究生论文、代写留学生毕业论文、代写英语论文等等。作为八年的品牌,已经为几万名毕业生服务,让他们 顺利通过了毕业论文的考核。本站负责提纲、开题报告、文献综述以及毕业论文的写作,并提供不限次数的修改服务。所代写MBA论文价格、代写MPA论文费 用、代写EMBA论文价钱都是最实惠的,欢迎咨询!
YM,机电教授,YMT,日本千叶博士,教授
海豚,英国留学管理博士学历
LB,经济管理博士英国交流
maomao,经济硕士管理博士
陈先生,湖南计算机博士,7年教育经验。硕士研究生导师。
BJX,上海交大计算机博士,发表40多篇核心学术论文,
电子计算机类博士,3人组合
LLBZY,5人,工程,园林,农业生态中科院博士,参与国家重点项目研究
浙大,管理硕士,英语专业硕士
y,男,法学硕士
中国XX大学,会计硕士,英语硕士,管理硕士
各一名
熊,浙江,管理学博士,经济学硕士,擅长管理,金融、宏观经济、区域经济
英语专业硕士,英语,翻译论文
11,硕士,自由撰稿,编辑,经济、法律、品牌
文,硕士,擅长企业管理,行政管理, MBA论文
兰大的硕士,西哲,社科
刘先生,擅长写作金属材料领域的专业论文
澳大利亚摩尔本皇家理工大学的MASTER
医学主治医师,某医学杂志编辑
剑,38,教育学硕士
某核心医学编辑
某中学杂志编辑
R,管理财会硕士,研究员
武汉工程博士,男,土木,结构,水电道路工程等
土木工程硕士,男,35岁,擅长工科土木工程,房建,园林,市政论文
左先生,武大MBA,擅长经济,管理,商业类论文
陈先生,大学本科副教授,英语专业硕士
陆先生,中科院基础医学研究生
杨先生,27岁, 武汉大学硕士,营销管理专业,武汉社科研究员,中国策划研究院协会会员,管理顾问公司总监。擅长经济管理、市场调查、行业研究报告。服务客户有中国银行,中银保险,香港铜锣湾百货等著名企业。
林先生,28,信息专业硕士,计算机研究室主任,国家高级电子商务培训讲师。
周先生,31,国内著名DVD品牌技术总监,重点高校讲师,期间指导学生获得全国电子大赛二等奖,指导老师二等奖。擅长电子类论文。
某艺术工作室,硕士学历,擅长现代艺术美术理论研究及创作。
刘先生,某著名医学院硕士研究生,某著名医学院博士研究生,专业为妇产科护理,以多产,高速,高质量著称。
kerry,北京某著名大学教师,擅长教育类论文。
时间:2019-09-27
1 RADIUS 系统概述
1. 1 系统原理
RADIUS( Remote Authentication Dial In User Serv-ice) 即远程用户拨号认证系统,由 RFC2865、RFC2866定义,是目前应用最广泛的 AAA 协议。RADIUS 是一种 C/S 结构的协议,它的客户端最初就是 NAS( NetAccess Server) 服务器,任何运行 RADIUS 客户端软件的计算机都可以成为 RADIUS 的客户端。RADIUS 协议认证机制灵活,可以采用 PAP、CHAP 或者 Unix 登录认证等多种方式。它更是一种可扩展的协议,进行的全部工作都是基于 Attribute - Length - Value( 属性长度值) 的向量进行的。
由于 RADIUS 协议简单明确,可扩充( RADIUS 也支持厂商扩充厂家专有属性) ,因此得到了广泛应用,包括普通电话上网、ADSL 上网、小区宽带上网、IP 电话、VPDN( Virtual Private Dialup Networks,基于拨号用户的虚拟专用拨号网业务) 、移动电话预付费等业务。
IEEE 提出了 802. 1x 标准,这是一种基于端口的标准,用于对无线网络的接入认证,在认证时也采用 RADI-US 协议。
在济宁分公司的宽带上网业务中,也是使用 RA-DIUS 服务器来进行宽带上网的认证。
1. 2 通过 WIRESHARK 软件对一次 PPPOE 拨号过程进行描述
图 1 为整个的 PPPOE 连接过程,接下来分步描述整个过程。
1. 2. 1 发现阶段 Discovery
( 1) PADI: 客户机以广播的形式发送 PADI 数据包,请求建立链路。主机发送 DESTINATION_ADDR为广播地址的 PADI 数据包,CODE 域设置为 0x09,SESSION_ID 域必须设置为 0x0000.如图 2 所示第497 条记录。
( 2) PADO: 访问集中器 AC 收到请求后会以单播的方式发送一个 PADO 数据包对客户机作出应答。如果访问集中器能够为收到的 PADI( PPPOE Active Dis-covery Initiation,主动发现初始) 请求提供服务,它将通过发送一个 PADO( PPPoE Active Discovery Offer,活动发现提供报文) 数据包来作出应答。DESTINATION_ADDR 为发送 PADI 的主机的单播地址,CODE 域为0x07,SESSION_ID 域必须设置为 0x0000.如图 3 第498 条记录。
( 3) PADR: 客户机收到 PADO 后,选择其中一个AC,然后客户机根据选中的 AC 的 MAC 地址向 AC 单播发送一个 PADR( PPPoE Active Discovery Request,活动发现请求) 数据包,表示请求该 AC 作为服务器。由于 PADI 是广播的,主机可能收到不止一个 PADO,它将审查接收到的所有 PADO 并从中选择一个,可以根据其中的 AC - Name 或 PADO 所提供的服务来作出选择。然后主机向选中的访问集中器发送一个 PADR 数据包。其中 DESTINATION_ADDR 域设置为发送 PA-DO 的访问集中器的单播地址,CODE 域设置为 0x19,SESSION_ID 必须设置为 0x0000.如图 4 第 499 条记录。
( 4) PADS: AC 收到客户机发送的 PADR 数据包后,会创建一个唯一的会话 ID,并单播一个 PADS 数据包给客户机作为响应。当访问集中器收到一个 PADR数据包,它就准备开始一个 PPP 会话。它为 PPPoE 会话创建一个唯一的 SESSION_ID 并用一个 PADS( PP-PoE Active Discovery Session - confirmation,活动发现会话) 数据包来给主机作出响应。DESTINATION_ADDR域为发送 PADR 数据包的主机的单播以太网地址,CODE 域设置为 0x65,SESSION_ID 必须设置为所创建好的 PPPoE 会话标识符。如图 5 第 500 条记录。
1. 2. 2 会话阶段 PPP
( 1) 协商阶段: 客户机和 AC 要互相发送 LCP Re-quest 给对方,来确认发送的最大传输单元、是否认证和采用何种认证方式的协商,如图 6 第 504 条记录。
( 2) 认证阶段: 双方通过 LCP 确定好认证方式后,就立刻进行认证,认证完成后才可以进行之后的网络层的协商。该过程可以抓包到 PPPOE 拨号的用户名及加密后的密码。如图 7 第 509 条记录。
( 3) IPCP 协商阶段: 双方协商 IP 服务阶段的一些要求,以决定双方都能接收的约定。双方的协议是通过报文中的 Option 进行协商的,每一个 Option 都是一个需要协商的问题。整个过程一般协商多次,最后双方都需要答复 Configure_ACK 的同意报文。
①认证成功后,AC 会将分配 IP 地址发送请求给客户机,再由客户机同意,同意报文分为客户机发起申请 Request 及确认、发起 ACK 报文,如图 8、图 9 第 512及 515 条记录。
②AC 同意报文,该过程可能需要很多次协商,如图 10、图 11 第 519 ~523 条记录所示。
当双方都发完 ACK 报文后,用户确认收到,获得IP 和 DNS Server IP,PPPOE 即拨号成功。
2 济宁广电 RADIUS 系统的现状及存在的问题
2. 1 现状
济宁分公司的 RADIUS 系统运行了两年多,期间经过了若干次重要的系统升级,目前已经承载了 15 万余户的宽带用户认证工作。
2. 1. 1 网络拓扑
如图 12 所示,核心路由器与 RADIUS 系统之间通过交换机进行通讯,目前只有核心路由器 1 与 RADI-US 系统通讯,核心路由器直接连接强推服务器,为用户强推到期提醒,RADIUS App1 的第二块网卡接入EBOSS 系统交换机,完成 EBOSS 与 RADIUS 之间的数据交互。在 BRAS 上设置 NAS 服务器地址( RADIUSApp 地址) ,实现用户的 AAA 认证。
2. 1. 2 承载用户的情况系统上线之初承载用户数: 5 000目前每天增加的用户数: 150到 2016 年底计划承载的用户数: 25 万2. 2 存在的问题
随着用户持续不断增长,该系统出现几次故障,有网络故障、数据库故障、RADIUS 与 EBOSS 数据交互故障等,网络故障主要体现在核心路由器与交换机之间网络不通,将原来的电口连接改为光口连接后故障排除。
数据库异常故障,用户拨号大面积 691,原因是RADIUS 老版本不带旁路功能,RADIUS 与 EBOSS 数据交互故障主要表现是在 EBOSS 中新开的账户,没有成功被 RADIUS 系统接收,导致用户拨号错误代码606,原因是数据库异常,接口无法新增授权信息( 到底用户侧出现的错误是 691 还是 606) .
数据库单台服务器,如果数据库出现问题,会导致系统旁路,数据库服务器遇到硬件问题时,数据难以恢复。
3 整改计划
3. 1 RADIUS 版本改进
原有的认证模式如图 13 所示:
用户拨号上网,BRAS 发送认证请求到 APP 前置机服务器,当前置机服务器接收到认证命令时,发送获取数据的信息到 DB 数据服务器,DB 数据服务器通过查询用户信息,将用户资料信息反馈给 APP 服务器,APP 服务器通过检测获取到的数据,对用户本次的认证请求作出相应的回执结果。
该认证模式中,每次用户的认证请求都会发送到数据库服务器执行,数据库服务器的运行性能决定了整个认证性能,当上网用户激增时,往往会出现无法认证的问题.
改进的认证模式如图 14 所示。
用户拨号上网,BRAS 发送认证请求到 APP 前置机服务器,当前置机服务器接收到认证命令时,检测缓存服务器是否存活,当缓存服务处于存活状态时,前置机直接从缓存服务器中读取用户数据,由于用户数据从缓存中读取,大大减轻了数据库服务器的压力,同时提高了认证的性能。当缓存服务器不存活时,前置机自动地寻找数据库服务器,获取认证信息完成用户认证。
BBN 后台管理系统、EBOSS 接口提供用户属性信息的修改,分发服务器检测数据库用户信息更改的情况,发现用户信息被更改,获取更改后的用户信息,立即分发到每个缓存服务器。
缓存服务器与分发服务器实现心跳检测连接,当缓存服务器发现分发服务器不可用时,标记缓存服务器为不可用状态。
3. 2 RADIUS 双机
RADIUS 系统分别与 BRAS 设备实现了双机热备( 如图 15 所示) .
用户拨号信息发送到 BRAS 设备,BRAS 设备通过配置,通过主要认证路径,发送认证信息到 RADIUSApp 前置机一,当前置机一正确响应时,BRAS 收到RADIUS 认证反馈结果信息,执行上线认证操作,主要认证前置机一不响应时,BRAS 更换到备用认证路径,发送认证系统到 APP 前置机二进行认证。
3. 3 数据库双机
通过第三方软件实现 Oracle 数据库服务的双机,增加数据库服务的安全性[1]( 如图 16 所示) .
通过 atang 的双机业务软件,实现两个数据库服务器的镜像数据同步,两个数据库服务器同时映射出虚拟服务器,供程序使用。
4 安全可靠的 RADIUS 系统的构建方案
4. 1 网络拓扑( 如图 17 所示)
4. 2 功能描述
引进用户到期提醒强推功能后,用户强推是以WEB 的形式体现,用户可以根据强推服务器的地址进而攻击 RADIUS 系统,网络的安全性受到威胁,计划在RADIUS 系统与用户、强推服务器之间新增一台防火墙,要满足以下 3 点要求: 一是强推服务器只与用户进行通讯,而且强推服务器使用虚拟机实现,方便用户攻击后通过镜像快速恢复强推功能; 二是核心路由器与RADIUS 互相通讯; 三是只有网管人员方可登录 RA-DIUS 系统。
4. 3 关键技术点
在 RADIUS 系统中,我们要特别关注硬件防火墙、核心路由器和 RADIUS 系统之间的协同配合关系,具体内容如下。
4. 3. 1 硬件防火墙的配置
防火墙在网络中有效阻止来自网络内部的攻击,同时有效定义可以访问 RADIUS 服务器的 IP 地址,从而在用户和 RADIUS 之间建立一个安全屏障[2].
防火墙上的配置主要是在核心路由器和 RADIUS交换机创建互联地址,然后在交换机上配置默认路由,最后需要在防火墙上回指访问 RADIUS 服务器的路由即可。
4. 3. 2 过期强推服务器的配置( 通过虚拟机实现)
强推服务,该界面是静态的,通过虚拟机实现。
系统: Windows Server 2008r2,内存 1 G 以上。
服务: tomcat7,jdk7.
物理存储位于 RAID5 硬盘集群中,为虚拟机分配40 GB 硬盘。
物理处理器为 E5 -2650v3,取其中一个内核虚拟成一颗单核虚拟 CPU.
虚拟机内存分配 2 GB,保证 1 GB,动态分配1 GB.
虚拟网卡依照常规设置,接入本网络。
Tomcat7 与 jdk7 使用官方安装包,并打上最新的补丁。
4. 3. 3 T8000 路由器及 BRAS 的配置
在 T8000 上设置和防火墙的互联地址,然后在防火墙和路由器上互指静态路由即可,在 T8000 上的BGP 路由已经重分发静态和直连路由,这样就保证BRAS 可以和 RADIUS 正常通信。
interface gei - 0 /15 /0 /5description DP - RADIUSip address 172. 28. 0. 49 255. 255. 255. 252interface gei - 0 /3 /0 /17description DP - RADIUSip address 172. 28. 0. 53 255. 255. 255. 252ip route 10. 253. 141. 0 255. 255. 255. 224 gei - 0 /15 /0 /5 172. 28. 0. 50ip route 10. 253. 141. 0 255. 255. 255. 224 gei - 0 /3 /0 /17 172. 28. 0. 544. 3. 4 RADIUS 系统的配置
RADIUS 服务器 1: 10. 253. 141. 7、10. 66. 6. 178.
RADIUS 服务器 2: 10. 253. 141. 8.
数据库服务器: 10. 253. 141. 4、10. 253. 141. 5,生成虚拟 IP 地址: 10. 253. 141. 6.
RADIUS 主要服务是 10. 253. 141. 7,如果系统出现问题时,BRAS 可以通过 SERVER2 的方式跳转到10. 253. 141. 8 进行认证。
两台 RADIUS 服务的版本是一致的。
10. 66. 6. 178 是 EBOSS 接口服务地址,接受 EB-OSS 授权服务。
5 结论
RADIUS 系统是我公司宽带业务系统的重要组成部分,这套系统是否可以安全、可靠、稳定运行,直接决定了宽带业务是否可以顺利开展。我公司开展大规模的双向网络之初,就建立了 RADISU 系统,随着宽带业务的不断发展,RADIUS 系统也逐渐暴露出一些问题,在一定程度上影响了宽带业务的发展。针过这个问题,我们通过增加硬件防火墙、实施双机热备、将强推服务器设置在虚拟机系统上等一序列措施,进一步提高了 RADIUS 系统的安全性和可靠性,使之与快速发展的宽带接入业务相适应。实践证明,这些措施是有效的。
参考文献:
[1] 袁津生,齐建东,曹 佳。 计算机网络安全基础[M]. 北京: 人民邮电出版社,2008:125 -129.
[2] 刘晓辉 肖铁岭。 网管天下 - 交换机·路由器·防火墙[M]. 北京: 电子工业出版社,2012: 416- 422.
上一篇:网络WebCache系统建设方案探究
下一篇:B/S架构下的校园OA系统开发研究